一种电动汽车的功能安全控制系统及电动汽车的制作方法

1.本发明涉及汽车技术领域，特别涉及一种电动汽车的功能安全控制系统及电动汽车。


背景技术：

2.为了丰富汽车的电子功能，车辆的电子化程度逐渐升高，现在电动汽车内部电子控制单元(electronic control unit，ecu)已经多达上百个，各个ecu通过控制器局域网络(controller area network，can)或串行通信网络(local interconnect network，lin)连接在一起，为了保证愈发复杂的线路中数据处理以及网络的安全性，将汽车电子系统根据功能划分为若干个功能块，每个功能块内部的系统架构由于控制器为主导搭建。但是，由于域控制器的高度集成，在将车载电子单元从许多独立的控制单元转移到一些高性能的计算机平台上实现高度集成、平台化的同时，也给其复杂高性能的计算单元设计、安全、级质量等带来了挑战。汽车系统中的各种传感器、执行器及控制单元经常处于高温、强电磁干扰的恶劣工作环境中，难免会产生或传递错误信号，如果不提高系统的可靠性，故障信号或错误的计算可能会导致车辆失控进而产生安全事故。


技术实现要素：

3.本发明实施例提供一种电动汽车的功能安全控制系统及电动汽车，用以解决如何提高域控制器的功能安全的问题。
4.为了解决上述技术问题，本发明实施例提供一种电动汽车的功能安全控制系统，包括：
5.由至少两个控制器集成得到的域控制器，所述域控制器包括：功能安全模块；
6.连接在所述功能安全模块上的输入模块和执行模块；
7.其中，所述功能安全模块用于对所述输入模块输入的信号进行校验，并在校验成功的情况下，向所述执行模块发送控制指令。
8.进一步地，所述输入模块包括以下的至少一项：模拟信号采集电路、数字信号采集电路、脉冲宽度调制pwm信号采集电路、旋变解码电路和控制器局域网络can信号输入电路。
9.进一步地，所述执行模块包括以下的至少一项：低边驱动电路、高边驱动电路、pwm输出电路、直流电机驱动电路、绝缘栅双极型晶体管igbt驱动电路。
10.进一步地，所述功能安全控制系统还包括：
11.用于向所述域控制器、所述输入模块和所述执行模块进行供电的电源电路；
12.进一步地，所述功能安全控制系统还包括：
13.用于所述域控制器与车辆的其他控制器进行信息交互的通信电路；
14.进一步地，所述功能安全模块包括：单片机和功能安全控制芯片；
15.其中，所述功能安全控制芯片的第一监控单元与所述单片机的第二监控单元之间互相检查对方是否发生异常，并在检查到对方发生异常的情况下，发送复位指令至对方。
16.进一步地，所述功能安全控制系统还包括：
17.判断电路，所述判断电路分别与所述第一监控单元、所述第二监控单元和所述执行模块连接；
18.其中，在所述第一监控单元检测到第一异常信号或所述第二监控单元检测到第二异常信号时，所述判断电路向所述执行模块发送关断指令；
19.其中，所述关断指令用于指示所述执行模块不执行所述控制指令；
20.所述第一异常信号用于指示所述功能安全控制芯片发生异常；
21.所述第二异常信号用于指示所述单片机发生异常。
22.进一步地，所述单片机包括：校验单元和功能实现单元，所述校验单元用于对所述输入模块输入的信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
23.进一步地，所述校验单元分别接收所述单片机采集的所述输入模块输入的第一信号和所述功能安全控制芯片采集的所述输入模块输入的第二信号，并对所述第一信号和所述第二信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
24.进一步地，所述校验单元分别接收所述单片机采集的所述输入模块输入的第三信号和所述单片机通过can信号输入电路接收的第四信号，并对所述第三信号和第四信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
25.本发明实施例还提供一种电动汽车，包括上述的功能安全控制系统。
26.本发明的有益效果是：
27.上述方案，本发明实施例通过对控制器进行集成，能够有效减少整车布置空间，为其他部件的选型带来更多可能性，同时降低了通信网络的负载率，功能安全模块的对输入信号的校验可以确保域控制器的控制更加可靠，进而保证了行车安全。
附图说明
28.图1表示本发明实施例的功能安全控制系统的结构示意图之一；
29.图2表示本发明实施例的功能安全控制系统的结构示意图之二。
具体实施方式
30.为使本发明要解决的技术问题、技术方案和优点更加清楚，下面将结合附图及具体实施例进行详细描述。在下面的描述中，提供诸如具体的配置和组件的特定细节仅仅是为了帮助全面理解本发明的实施例。因此，本领域技术人员应该清楚，可以对这里描述的实施例进行各种改变和修改而不脱离本发明的范围和精神。另外，为了清楚和简洁，省略了对已知功能和构造的描述。
31.应理解，说明书通篇中提到的“一个实施例”或“一实施例”意味着与实施例有关的特定特征、结构或特性包括在本发明的至少一个实施例中。因此，在整个说明书各处出现的“在一个实施例中”或“在一实施例中”未必一定指相同的实施例。此外，这些特定的特征、结构或特性可以任意适合的方式结合在一个或多个实施例中。
32.在本发明的各种实施例中，应理解，下述各过程的序号的大小并不意味着执行顺序的先后，各过程的执行顺序应以其功能和内在逻辑确定，而不应对本发明实施例的实施
过程构成任何限定。
33.本发明针对如何提高域控制器的功能安全的问题，提供一种电动汽车的功能安全控制系统及电动汽车。
34.如图1至图2所示，本发明实施例提供一种电动汽车的功能安全控制系统，包括：
35.由至少两个控制器集成得到的域控制器，所述域控制器包括：功能安全模块；
36.连接在所述功能安全模块上的输入模块和执行模块；
37.其中，所述功能安全模块用于对所述输入模块输入的信号进行校验，并在校验成功的情况下，向所述执行模块发送控制指令。
38.本发明实施例通过对控制器进行集成，能够有效减少整车布置空间，为其他部件的选型带来更多可能性，同时降低了通信网络的负载率，功能安全模块的对输入信号的校验可以确保域控制器的控制更加可靠，进而保证了行车安全。
39.需要说明的是，该域控制器可以是整车控制器(vehicle control unit，vcu)和电机控制器(motor control unit，mcu)进行集成得到的，该域控制器的单片机可以同时实现vcu和mcu的功能，也就是可以同时对整车和电机进行控制。
40.具体地，如图2所示，所述输入模块包括以下的至少一项：模拟信号采集电路、数字信号采集电路、脉冲宽度调制pwm信号采集电路、旋变解码电路和控制器局域网络can信号输入电路。
41.需要说明的是，通过所述模拟信号采集电路输入的信号包括：温度传感器信号、加速踏板传感器信号、刹车信号传感器信号、刹车灯信号传感器信号、充电连接信号、母线电压传感器信号、相电流传感器信号以及其他预留传感器信号；通过所述数字信号采集电路输入的信号包括：档位开关信号、模式选择开关信号、高压互锁信号、充电唤醒信号、空调开关信号、ptc开关信号以及其他预留信号；通过所述pwm信号采集电路输入的信号包括：车速信号、碰撞信号、充电控制信号以及其他预留信号；所述旋变解码电路包括硬件旋变解码芯片电路和软件解码电路两部分；通过所述can信号输入电路输入的信号包括：与所述域控制器通过can总线连接的其他控制器发送的can信号；进一步地，所述输入模块还包括lin信号输入电路，通过lin信号输入电路输入的信号包括与所述域控制器通过lin总线连接的其他控制器发送的lin信号。
42.如图2所示，所述执行模块包括以下的至少一项：低边驱动电路、高边驱动电路、pwm输出电路、直流电机驱动电路、绝缘栅双极型晶体管igbt驱动电路。
43.需要说明的是，所述低边驱动电路用于实现对ptc加热水泵继电器、冷却水泵继电器、倒车灯继电器、制动真空泵继电器、风扇继电器、各指示灯控制以及其他预留信号的驱动；所述高边驱动电路用于对电池使能以及dcdc使能的控制；所述pwm输出电路可以是预留的电路设计；所述直流电机驱动电路用于对充电锁的控制；所述igbt驱动电路用于对三相全桥逆变电路、故障诊断电路和驱动板电路的控制。
44.具体地，如图2所示，所述功能安全控制系统还包括：
45.用于向所述域控制器、所述输入模块和所述执行模块进行供电的电源电路；
46.需要说明的是，电源电路主要针对所述功能安全控制系统的不同电源输入进行合理分配，电源输入包括蓄电池正极输入、点火钥匙上电信号和主继电器后端电压，最终产生系统所需的电源，如功能安全模块中的单片机和功能安全控制芯片的所需电源、执行模块
所需电源和输入模块所需电源等，所述电源电路还用于消除车辆处于断电状态下的各模块的反向电动势。
47.具体地，如图2所示，所述功能安全控制系统还包括：
48.用于所述域控制器与车辆的其他控制器进行信息交互的通信电路；
49.需要说明的是，所述域控制器与其他域控制器或其他车内的控制器进行信息交互时，通过所述通信电路进行实现，具体地，所述通信电路包括can总线、lin总线以及以太网通信电路，从而满足各种通信方式的使用需求。
50.具体地，所述功能安全模块包括：单片机和功能安全控制芯片；在所述单片机内设置有校验单元、功能实现单元和第一监控单元，在所述功能安全控制芯片内设置有第二监控单元；其中，所述单片机的功能实现单元能够实现域控制器中集成的控制器的功能，所述单片机实现对输入模块输入的信号进行接收、向执行模块发送控制信号、对输入信号进行校验、与功能安全控制芯片进行相互检查等操作，主要用于实现基本的运算、控制和保护功能，所述功能安全控制芯片用于接收输入模块输入的信号、与单片机进行相互检查等操作，其内部集成了一个独立的监控单片机和电源电路，主要用作监控以及冗余处理。
51.需要说明的是，所述单片机可以是32位高性能多核单片机。
52.其中，所述功能安全控制芯片的第一监控单元与所述单片机的第二监控单元之间互相检查对方是否发生异常，并在检查到对方发生异常的情况下，发送复位指令至对方。
53.需要说明的是，所述单片机和所述功能安全控制芯片之间采取问/答机制相互检查，一旦其中任何一方出现问题，另一方使其进行复位。
54.另外，在发生特殊情况时如单片机出现故障等，会紧急采取安全措施，如关断对执行模块的操作等。
55.具体地，如图1所示，所述功能安全控制系统还包括：
56.判断电路，所述判断电路分别与所述第一监控单元、所述第二监控单元和所述执行模块连接；
57.其中，在所述第一监控单元检测到第一异常信号或所述第二监控单元检测到第二异常信号时，所述判断电路向所述执行模块发送关断指令；
58.其中，所述关断指令用于指示所述执行模块不执行所述控制指令；
59.所述第一异常信号用于指示所述功能安全控制芯片发生异常；
60.所述第二异常信号用于指示所述单片机发生异常。
61.需要说明的是，所述判断电路可以是一个或门电路，在域控制器发生故障的情况下，单片机或安全控制芯片中的监控单元会检测到异常信号，为了防止错误输出，需要对执行模块进行安全处理，即向其发送关断指令，可选地，所述关断指令可以通过硬线传输至执行模块，控制相应的执行单元进行关断。
62.进一步需要说明的是，如图1所示，在功能安全控制芯片内还设置有电源，该电源的第一端与蓄电池连接，该电源的第二端与can通信模块即上述的通信电路连接，连接线路上设置有开关，也就是说，在域控制器与外部控制器通过can进行信号传输时，需要电源进行供电，在电源断电或开关断开时，can通信中断。因此在域控制器发生故障的情况下，针对与其他控制器通过can通信的信号输出，可以通过对功能安全控制芯片内的电源进行断电操作，实现对域控制器输出通信信号的控制。
63.具体地，如图1所示，所述单片机包括：校验单元和功能实现单元，所述校验单元用于对所述输入模块输入的信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。在所述功能实现单元接收到校验完成指令后，会根据实际检测工况向执行模块发送相应的控制指令。具体地，在单片机和功能安全控制芯片中分别设置有模数转换器(analog-to-digital converter，adc)，用于对输入模块输入的信号进行处理。
64.需要说明的是，所述校验单元包括多种校验方式，具备较高的硬件故障探测覆盖率，进而可以确保整车及电机控制的高度可靠，最终保证行车安全。
65.具体地，所述校验单元的第一种校验方式如下：所述校验单元分别接收所述单片机采集的所述输入模块输入的第一信号和所述功能安全控制芯片采集的所述输入模块输入的第二信号，并对所述第一信号和所述第二信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
66.例如，在采集加速踏板传感器信号时，可以通过单片机和功能安全控制芯片分别采集加速踏板传感器输入的信号，再分别进行处理，校验单元对两路信号进行校验，确定是否有异常，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。一旦油门信号出现故障，域控制器会限制驾驶员的扭矩需求，进而使车辆可控。
67.具体地，所述校验单元的第二种校验方式如下：所述校验单元分别接收所述单片机采集的所述输入模块中的模拟信号采集电路或数字信号采集电路或pwm信号采集电路输入的第三信号和所述输入模块中can信号输入电路输入的第四信号，并对所述第三信号和第四信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
68.例如，母线电压信号诊断时，通过模拟信号采集电路获取电路计算的母线电压值，通过can信号输入电路获取输入母线电压值，并对这两个母线电压值进行校验，确定是否有异常，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
69.具体地，所述校验单元的第三种校验方式如下：所述校验单元接收所述单片机采集的所述输入模块中旋变解码电路输入的第五信号，以及通过单片机内部的软件算法计算的第六信号，并对所述第五信号和第六信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
70.例如，在获取电机的转子位置和转子速度时，通过旋变解码电路获取的第五信号即为通过硬解码方式得到的转子位置和转子速度，通过单片机内部的软件算法计算的第六信号即为通过软件解码方式得到的转子位置与转子转速，校验单元对通过硬解码方式得到的转子位置和转子速度，以及通过软件解码方式得到的转子位置与转子转速进行校验，确定是否有异常，若校验成功，则向所述功能实现单元发送校验完成指令。
71.在电机三相电流信号诊断时，采用三个电流传感器分别采集a、b、c三相的电流值，利用理想情况下三相电流之和为零这一条件，对三相采集值进行校验。
72.具体地，所述校验单元的第四种校验方式如下：所述校验单元接收所述单片机采集的所述输入模块输入的第七信号和第八信号，其中所述第七信号和所述第八信号分别来自不同的输入电路，并对所述第七信号和第八信号进行校验，并在校验成功的情况下，向所述功能实现单元发送校验完成指令。
73.例如，在对刹车信号诊断时，刹车踏板上装有刹车信号传感器与刹车灯信号传感器，单片机分别接收刹车信号传感器输入的信号和刹车灯信号传感器输入的信号，对两路
信号进行校验，确定是否有异常，如果采集到的两路信号不同步，默认按照上次存储值进行处理，保证安全行驶，若两路信号同步即校验成功，则向所述功能实现单元发送校验完成指令。
74.本发明实施例还提供一种电动汽车汽车，包括上述的功能安全控制系统。
75.需要说明的是，设置有该功能安全控制系统的汽车，通过对控制器进行集成，能够有效减少整车布置空间，为其他部件的选型带来更多可能性，同时降低了通信网络的负载率，功能安全模块的对输入信号的校验可以确保域控制器的控制更加可靠，进而保证了行车安全。
76.以上所述的是本发明的优选实施方式，应当指出对于本技术领域的普通人员来说，在不脱离本发明所述的原理前提下还可以作出若干改进和润饰，这些改进和润饰也在本发明的保护范围内。